用于出站 SMTP 数据包捕获的最佳操作系统应用程序？

Question

好吧，这可能听起来非常邪恶，但我的高级项目需要这样的功能。 本质上，我的任务是编写一些东西，通过数据包拦截和评估系统来减少僵尸电脑上的出站垃圾邮件。 我们对捕获的消息使用了多种算法，但真正的捕获——完全拦截而不是仅仅嗅探——让我有点困惑。

该应用程序是为 Windows 设计的，因此我无法使用 IP 表。 我可以使用 winpcap 库，但如果不需要，我不想重新发明轮子。 Ettercap 似乎是一个不错的选择，但使用非官方二进制文件在 vista 上进行测试运行时除了崩溃之外什么也没得到。

那么，有什么建议吗？

更新：很好的建议。 最终缩小了项目规模，但仍然获得了 A。我认为 Adam Mintz 的答案可能是最好的，尽管我们在应用程序中使用了 WinPcap 和 Wireshark。

Answer 1

如果这是一个长期的事情，请使用精简版的 Snort。 它旨在监视飞过的特定数据包、在需要时检查有效负载、记录数据并启动警报。

它的目的是用于入侵检测，但在长期使用中，它对于特定事物来说是一个非常好的网络监视器。

Answer 2

tcpdump 如果您需要命令行或更直观的东西，例如 wireshark

如果你想自己写一些东西，请使用 libpcap 。

Answer 3

人们可能会认为 Wireshark 可以解决您的问题——安装简单，而且非常易于使用。

编辑：啊，我现在看到了拦截要求与只是嗅探..在这种情况下，仅 Wireshark 无法解决它。 可能相当于 Windows 上的 iptables 的东西。

Answer 4

我同意 Wireshark 可能就是您所需要的。 如果您想编写自己的过滤器应用程序并且可以使用 Vista，请查看 Windows 过滤平台。

Answer 5

DSNIFF 软件包具有 mailsnarf 实用程序。 它也可以抓取POP3。 那里还有各种其他精彩的嗅探实用程序。 使用这些工具之前请确保您拥有合法权利（拦截他人流量的合法权利）。 我相信该文档包含有关合法性的更多信息。 根据网页，也有 Windows 和 Mac OS X 端口。

分析程序的文本输出并不会太难。

Answer 6

谢谢，CDV。 我也会调查一下。 关于合法性检查的好电话。 实际上到目前为止我一直在尝试使用 gnu 公共许可证项目。

Answer 7

Ilkka：我正在研究 Wireshark，但据我所知，它不处理拦截方面的问题——只处理嗅探和日志记录。 教授正在寻找的是防止垃圾邮件进入网络。

Adam：我一定会研究 Winsock。 我还没有检查过。 唯一的问题是该应用程序将在大约 2 个月内到期，因此如果有任何基于 WinSock SPI 构建的操作系统应用程序，我可能想加入其中。 您知道吗？

Answer 8

听起来您需要编写一个 Winsock LSP。

一旦进入堆栈，分层服务提供商就可以拦截和修改入站和出站 Internet 流量。 它允许处理 Internet 和访问 Internet 的应用程序之间发生的所有 TCP/IP 流量。